No dia 3 de dezembro de 2025, o time do React divulgou um alerta de segurança importante sobre uma vulnerabilidade crítica no React Server Components (RSC) que pode afetar aplicações em produção.

André Jaccon
14:27:15 14/12/2025
post-title

No dia 3 de dezembro de 2025, o time do React divulgou um alerta de segurança importante sobre uma vulnerabilidade crítica no React Server Components (RSC) que pode afetar aplicações em produção. 

O que aconteceu?

Foi identificada uma falha de execução remota de código sem autenticação (unauthenticated remote code execution, ou RCE) em como o React lida com payloads enviados para endpoints de React Server Function. Isso significa que um atacante pode enviar uma requisição HTTP especialmente criada e executar código arbitrário no servidor, sem necessidade de estar autenticado. 

Essa falha foi registrada como CVE-2025-55182 e recebeu pontuação máxima de severidade (CVSS 10.0) — o que indica risco Grave/Crítico para sistemas em produção.

Quais versões estão afetadas?
Apenas versões específicas das bibliotecas de Server Components estão vulneráveis:

react-server-dom-webpack
react-server-dom-parcel
react-server-dom-turbopack

Nas versões:

19.0.0, 19.1.0, 19.1.1 e 19.2.0

Se você estiver usando qualquer uma dessas, sua aplicação pode estar exposta.

Impacto real

Mesmo se sua app não expõe explicitamente endpoints de Server Functions, ela ainda pode estar vulnerável se suporta React Server Components ou depende de frameworks/bundlers que os utilizam, como:

- Next.js
- React Router
- Waku
- @vitejs/plugin-rsc
- rwsdk

Esses pacotes podem incorporar as versões vulneráveis das bibliotecas acima como dependências internas.

Além disso, há provas de exploração ativa sendo observadas na internet logo após a divulgação, com botnets e grupos de ataque direcionando tráfego para explorar essa falha em sistemas desatualizados.

O que fazer agora (ações imediatas)

✅ Atualize imediatamente suas dependências para versões que incluem a correção:

✔️ react-server-dom-webpack ≥ 19.0.1
✔️ react-server-dom-parcel ≥ 19.1.2
✔️ react-server-dom-turbopack ≥ 19.2.1


Também é recomendado atualizar frameworks que dependem dessas bibliotecas (por exemplo, Next.js para as versões post-correção)

author avatar
Escrito por: André Jaccon

aqui vai um teste da minha Biografia

Linkedin Twitter Youtube
Seja Membro Gratuítamente

Assine a newsletter para receber em seu email as publicações atualizadas neste blog

André Jaccon

Desenvolvedor Full-Stack, entusiasta de tecnologia e apaixonado por compartilhar conhecimento através deste blog.

Categorias

Projetos Mais Populares no GitHub
  1. 01
    dopaminadarktheme
    5 estrelas Atualizado: 23 Oct 2025
    Full Dopamina Dark Theme
  2. 02
    AdobeCCKiller
    Python 2 estrelas Atualizado: 10 Mar 2020
    Python script to remove all Adobe CC Files in Mac to reinstall
  3. 03
    deployer
    Python 2 estrelas Atualizado: 10 Mar 2020
    Easy way to deploy any application to production
  4. 04
    covid19RestAPI
    JavaScript 2 estrelas Atualizado: 25 Mar 2020
    The fast and easy REST API to get all updates about Covid19 virus around world
  5. 05
    Blue-Recursive-Gallery
    1 estrelas Atualizado: 10 Mar 2020
  6. 06
    ai-photo-restore
    Python 1 estrelas Atualizado: 23 May 2024
    This script in Python use a Replication.com API to restore any photo easy
  7. 07
    ebook-reactjs
    JavaScript 1 estrelas Atualizado: 10 Mar 2020
    Source Code do Ebook ReactJs Zero to Hero de @jaccon
  8. 08
    download-dailymotion-videos
    Python 1 estrelas Atualizado: 25 May 2024
  9. 09
    airbnb-react-native-clone
    JavaScript 1 estrelas Atualizado: 21 Oct 2021
    This is a simple React Native / Expo implementation to clone a Airbnb UI
  10. 10
    DockerLamp2
    Dockerfile 1 estrelas Atualizado: 10 Mar 2020
    Docker container with Lamp2 Development
Top